In Osteuropa beobachten Sicherheitsforscher einen deutlichen Anstieg von Android-Schadsoftware, die gezielt kontaktlose Zahlungen angreift. Zimperium meldet in den vergangenen Monaten über 760 identifizierte NFC-Malware-Varianten. Die Angriffe beschleunigen sich, nutzen legitime Android-Mechanismen aus und machen mobile Zahlungen zu einer prioritären Risikofläche.
NFC-Malware verstehen: Host Card Emulation als Einfallstor
Anders als klassische Banktrojaner mit Overlays oder Screen-Capture missbraucht NFC-Malware die Host Card Emulation (HCE). HCE erlaubt es Android-Geräten (ab Android 4.4, laut offizieller Android-Dokumentation), eine kontaktlose Karte zu emulieren und direkt mit POS-Terminals zu sprechen. Für Anwender wirkt der Bezahlvorgang normal, doch die Malware positioniert sich in der Datenkette und erhält Zugriff auf kritische Protokollelemente.
Technische Methoden: EMV-Exfiltration, APDU-Tunneling und Manipulation in Echtzeit
Forscher dokumentieren mehrere Taktiken. Erstens das Abgreifen strukturierter EMV-Datenfelder, die anschließend an Telegram-Bots oder Angreifer-Infrastruktur (C2-Server) exfiltriert werden. Diese Felder können für Betrugsversuche wiederverwendet oder mit anderen Datensätzen angereichert werden.
Zweitens APDU-Tunneling: Hierbei werden ISO/IEC-7816-4-konforme APDU-Kommandos des POS-Terminals an einen entfernten Server weitergeleitet. Dieser erzeugt in Echtzeit passende Antworten und autorisiert so Transaktionen, ohne dass eine physische Karte vorliegt oder der Gerätebesitzer die Zahlung beabsichtigt. Dieses Proxy-Verhalten verschleiert Verantwortlichkeiten und erschwert forensische Analysen.
Drittens zeigen einzelne Samples Ghost-Tap-ähnliche Techniken, bei denen HCE-Antworten dynamisch modifiziert werden, um Zahlungen unbemerkt zum Abschluss zu bringen. Solche Modifikationen unterlaufen Plausibilitätsprüfungen im Checkout-Prozess und reduzieren sichtbare Artefakte auf dem Endgerät.
Ausmaß und Infrastruktur: koordinierte Kampagnen mit Telegram-Ökosystem
Zimperium ordnet der Angreiferökosystem mehr als 70 Steuerungs- und Distributionsserver zu; hinzu kommen Dutzende privater Telegram-Kanäle und Bots zur Orchestrierung und Datenaufnahme. Erste verifizierte Vorfälle stammen aus dem Herbst 2023 und betrafen Kunden großer Banken in Tschechien. In Russland wurden im August 2024 erste Angriffe unter Nutzung von NFCGate-Abwandlungen registriert.
Nach Zahlen der Spezialisten von F6 summierten sich die Schäden allein durch bösartige NFCGate-Varianten bis Ende des ersten Quartals 2025 auf 432 Mio. Rubel. Zwischen Januar und März wurden im Schnitt rund 40 erfolgreiche Angriffe pro Tag beobachtet, der durchschnittliche Einzelfall lag bei etwa 120.000 Rubel. Diese Kennzahlen deuten auf eine gereifte Monetarisierung und robuste Verbreitungskanäle hin.
Tarnung und Distribution: Fake-Payment-Apps als Standard-Tap-to-Pay
Die Akteure setzen auf PWA-Attrappen und gefälschte Banking-Apps, die sich als Standard-Handler für kontaktloses Bezahlen in Android registrieren. Häufige Markenimitationen sind Google Pay sowie Institute wie Santander, VTB, Tinkoff, Bank of Russia, ING, Bradesco und Promswjasbank. Die optische Anmutung ist oft professionell, wodurch die Erkennung für Endnutzer erschwert wird.
Verbreitungswege sind Phishing-Seiten, inoffizielle APK-Kataloge, Messenger-Kampagnen und geschlossene Telegram-Communities. Für die Datenabflüsse werden dieselben Kanäle genutzt: Bots, C2-Server, anschließende Aggregation und betrügerische Transaktionen. Dass die Kampagnen stark auf Telegram setzen, passt zu den niedrigen Eintrittsbarrieren und der leichten Automatisierbarkeit von Bot-Workflows.
Analyse: Warum Osteuropa besonders betroffen ist
Die Fokussierung auf Osteuropa lässt sich plausibel mit der hohen Verbreitung kontaktloser Zahlungen, der weiten Android-Durchdringung und unterschiedlichen Sicherheitspraktiken in App-Ökosystemen erklären. Zudem erleichtert das legitime Intent- und HCE-Modell von Android die Registrierung als Zahlungsdienst, wenn Nutzer außerhalb des Play Stores installieren. Diese Einordnung deckt sich mit veröffentlichten Analysen von Zimperium und branchentypischen Beobachtungen zu HCE- und EMV-Missbrauch.
Empfehlungen: Praktische Schutzmaßnahmen für Nutzer und Unternehmen
Für Android-Nutzer: Installieren Sie Apps ausschließlich aus Google Play; vermeiden Sie seitengeladene APKs und „Duplikate“ von Banking-Apps. Prüfen Sie regelmäßig, welches App als Tap-to-Pay-Standard festgelegt ist, und entfernen Sie unbekannte Zuweisungen. Deaktivieren Sie NFC, wenn ungenutzt, und beschränken Sie App-Berechtigungen.
Aktivieren Sie Google Play Protect, halten Sie Betriebssystem und Sicherheits-Patches aktuell. Schalten Sie Transaktionsbenachrichtigungen und Limits ein; sperren Sie Karten bei Auffälligkeiten umgehend. Seien Sie vorsichtig mit PWA-„Updates“ aus Messenger-Links.
Für Organisationen: Etablieren Sie MDM/EMM-Policies mit Allowlisting, kontrollieren Sie HCE-Registrierungen, und überwachen Sie HCE-nahe Netzwerkflüsse auf Anomalien (z. B. APDU/EMV-bezogene Artefakte, ungewöhnliche Telegram-API-Nutzung). Ergänzen Sie Mobile Threat Defense, Threat Hunting und gezielte App-Reviews.
Die Ausbreitung von NFC-Malware zeigt: Angriffe auf kontaktlose Zahlungen sind eine strukturelle Gefahr. Konsequente Update-Disziplin, saubere Installationshygiene und die Kontrolle von Tap-to-Pay-Settings reduzieren das Risiko deutlich. Prüfen Sie regelmäßig Zahlungs-Apps und Kontoaktivitäten und verfolgen Sie Sicherheitshinweise Ihrer Anbieter. Unternehmen sollten HCE-Dienste gezielt testen und Monitoring schärfen, um APDU-Relay-Szenarien frühzeitig zu erkennen.
